Ssylka

Угрожают ли публичные ASP.NET machine keys безопасности веб-приложений?

В первом случае Microsoft сообщила о более чем 3 000 общедоступных machine keys, потенциально уязвимых для атак методом «ViewState code injection». Этот факт привлёк особое внимание после обнаружения, что в декабре 2024 года неизвестный злоумышленник использовал один из публичных статических ключей для внедрения вредоносного кода и загрузки инструментария «Godzilla post-exploitation framework» на сервер.
Угрожают ли публичные ASP.NET machine keys безопасности веб-приложений?
Изображение носит иллюстративный характер

Дальнейший анализ показал, что разработчики порой копируют machine keys из открытых источников и inadvertently включают их в код, размещённый в общедоступных репозиториях. Microsoft подчёркивает, что новая волна атак может оказаться масштабнее предыдущих случаев, когда компрометированные ключи продавались на теневых рынках: «Теперь они доступны в различных кодовых репозиториях и могли попасть в рабочие проекты без изменений».

Механизм «ViewState» важен для сохранения данных между загрузками страниц в , поскольку он размещает данные в скрытом поле и защищает их базовым хешем (MAC), вычисленным на базе machine key. Если ключ становится известен злоумышленнику, то можно создать вредоносное содержимое ViewState, которое сервер примет за корректное и выполнит. В результате обеспечивается удалённый запуск кода на целевом IIS-сервере.

Атаки в первую очередь нацелены на те системы, где machine key переиспользуется и не меняется. Microsoft призывает сравнить текущие ключи с опубликованным списком хешей, а при обнаружении совпадений не ограничиваться сменой ключей. Если неизвестные лица уже успели закрепиться в системе, требуются дополнительные меры по очистке и проверке целостности среды.

Параллельно с этим крупная облачная компания Aqua раскрыла детали обхода в OPA Gatekeeper, позволяющего проводить несанкционированные действия в Kubernetes. Исследователи Якир Кадкода и Ассаф Мораг упомянули, что уязвимость кроется в конфигурации ConstraintTemplate, в частности в политике «k8sallowedrepos». При несоответствии параметров YAML-файла и логики Rego возникает обход, и ограничения перестают работать должным образом. По данным Aqua, с этими находками ознакомились журналисты The Hacker News.

Microsoft в рамках дальнейших мер очистила некоторые «ограниченные экземпляры» своих собственных документов, где фигурировали такие ключи. Эксперты рекомендуют никогда не копировать machine keys из публичных ресурсов, регулярно менять ключи, а в случае уже произошедшей атаки проводить полное расследование. Владельцам OPA Gatekeeper также советуют сверять шаблоны ConstraintTemplate и проверять правильность пользовательских значений в YAML-файлах, чтобы избежать непредвиденных обходов политик.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?